재화나 서비스를 제공하는 기업이 개인정보까지 하나하나 관리하기는 쉽지 않기에 개인정보 처리를 위탁하는 경우가 많다. 개인정보 위탁으로 인하여 비용의 절감, 업무 효율화, 서비스 품질 향상을 가져올 수 있기에, 개인정보의 위탁은 개인정보 처리 과정에서 가장 빈번하게 일어나는 현상이지만, 아이러니하게도 법적으로 가장 정리가 필요한 영역 중의 하나이다.

일단 위탁인지 아닌지도 판단이 쉽지 않고, 재위탁이 허용되는지부터 위탁 이후에 개인정보 유출이 발생했을 때 누가 책임을 부담하는지 등등 수많은 질문이 쏟아지는 영역이다.

위탁의 개념

개인정보의 위탁이란 개인정보의 처리를 아웃소싱하는 것이라고 이해하면 된다. 흔히 개인정보의 이용이나 개인정보의 제3자 제공과 많이 혼동되는 경우가 많지만, 개인정보의 이용이란 개인정보처리자의 손을 벗어나지 않는다는 점에서 개인정보의 위탁이나 제3자 제공과는 구별된다.

한 회사의 A 부서에서 수집한 개인정보를 B 부서가 이용하는 경우 이를 제3자 제공으로 잘못 이해하는 경우가 있는데, 개인정보처리자가 회사인 이상 그 안의 부서간의 개인정보 이동은 제3자 제공에 해당하지 않고 이용에 해당한다. 다만 B 부서의 이용이 A 부서의 수집 목적을 벗어나면 목적외 이용이 되어 정보주체로부터 별도의 동의를 얻어야 한다.

위탁은 개인정보처리자의 손을 벗어나는 점에서 제3자 제공과 공통되지만, 개인정보를 건네는 것이 받는 자의 목적을 위한 것이라면 제3자 제공이고, 주는 자의 목적을 위한 것이라면 위탁으로 보아야 한다. 따라서 받는 자의 업무 목적이 주는 자의 업무 목적과 관련성이 없으면 제3자 제공으로, 관련성이 있으면 위탁으로 보아도 된다.

예컨대 A 회사가 수집한 개인정보를 A 회사의 마케팅 목적으로 활용하고자 광고대행사인 B 회사에 넘기는 경우에는 위탁에 해당하고, C 회사의 마케팅 목적으로 C 회사에 넘긴 경우에는 제3자 제공에 해당한다.

특히 ‘수집위탁’이 제3자 제공과 구별이 쉽지 않은데, 수집위탁이란 개인정보 수집 단계를 아웃소싱하는 경우이다.

예를 들어, A 회사의 외부인사 보안을 위하여 B 회사에 외부인사 보안 업무를 위탁하였고, B 회사가 외부인사로부터 개인정보를 수집하여 보안업무를 처리하고 수집한 개인정보를 A 회사에 건네준 경우, B 회사는 자신을 위하여 외부인사의 개인정보를 수집한 것이 아니라 A 회사의 업무목적을 위하여 개인정보를 수집한 것이므로, B 회사가 A 회사에게 수집한 개인정보를 건네는 것은 제3자 제공이 아니라 수집위탁의 사후처리에 해당한다.

백화점ㆍ쇼핑센터나 번화가에 위치한 대리점으로부터 수집한 개인정보를 본점이 건네받아 한꺼번에 관리하는 경우도 있는데, 이 경우도 수집위탁 관계로 볼 수 있다.

그 법적 효과 측면에서 보면, 제3자 제공은 개인정보에 대한 관리감독권 및 책임이 제3자에게 넘어가는 것이고, 반면 위탁은 개인정보에 대한 관리감독권 및 책임이 위탁자에게 남아 있는 점에서 큰 차이를 보인다.

위탁의 유형

위탁이란 개인정보 자체를 위탁하는 경우와 업무를 위탁하면서 개인정보를 부수적으로 건네는 경우로 나눌 수 있는데, 전자를 처리업무 위탁이라 하고, 후자를 취급업무 위탁이라 하며, 우리법은 두 가지 경우를 모두 위탁으로 보고 있다.

예컨대 DB 호스팅 업체에게 개인정보를 수집부터 처리까지 맡겨 관리하는 경우, 개인정보가 담긴 서면이나 하드디스크를 파기 전문업체에게 맡겨 파기시키는 경우에는 개인정보 자체의 처리업무 위탁으로 볼 수 있지만, 주문받은 상품의 배송업무를 위하여 소지하고 있던 주소 등의 개인정보를 택배사에게 넘기는 경우에는 취급업무 위탁으로 볼 수 있다. 마케팅 업무를 위하여 소지한 개인정보를 광고대행사에 넘기는 경우도 취급업무 위탁에 해당한다.

실무적으로 취급업무 위탁이 제3자 제공과 구별이 쉽지 않아 혼동하는 경우가 많다. 외부인사 보안 업무, 마케팅 업무, 홍보 업무, 고객불만처리 업무, 추심 업무, 개인정보의 전산입력 업무, 이벤트 업무, 보너스포인트관리 업무, 택배ㆍ배송 업무, AS 업무, 본인확인 업무, 인증 업무 등을 위하여 개인정보를 수집케 하거나 수집한 개인정보를 건네주는 경우는 제3자 제공이 아니라 취급업무 위탁에 해당하다.

위탁자의 의무와 책임 (1)

위탁이란 위탁자의 목적 달성을 위하여 아웃소싱하는 경우이므로 위탁으로 인하여 위탁자의 정보주체에 대한 의무는 감소하지 않고 오히려 수탁자에 대한 의무가 부가된다.

위탁자의 정보주체에 대한 의무는 위탁하지 않았을 때와 원칙적으로 큰 차이가 없다. 다만 사실적으로 개인정보의 점유가 이전되었기 때문에, 점유를 전제로 하는 일부 의무는 그 적용이 없다.

예컨대 주민등록번호 처리금지 의무의 경우, 위탁자는 개인정보를 점유하고 있지 않음에도 불구하고 주민등록번호 처리를 하지 않을 의무가 존재한다. 반면 개인정보의 기술적 보호조치 의무의 경우, 개인정보를 점유하고 있지 않은 위탁자에게는 그 의무 적용이 되지 않고, 그 대신에 아래에서 설명하는 위탁자의 관리ㆍ감독의무가 적용된다.

정보통신망법이 적용되는 조직의 경우, 위탁자의 경우 ⑴ 고지 및 동의 의무(정보통신망법 제25조 제1항, 예외적으로 제2항의 경우에는 공개ㆍ통지로 족함), ⑵ 수탁자의 관리감독의무(제4항)가 있다.

즉 정보통신서비스 제공자는 이용자에게 위탁사실, 수탁자, 위탁업무의 내용을 알리고 동의를 받아야 한다. 수탁자와 위탁업무의 내용이 변경되는 경우에도 마찬가지이다. 다만 ‘정보통신서비스의 제공에 관한 계약을 이행하기 위하여 필요한 경우’로서 수탁자와 위탁업무의 내용을 공개하거나 전자우편 등으로 통지한 경우에는 동의(고지 포함)를 받지 않아도 된다.

그리고 위탁자는 수탁자가 정보통신망법의 개인정보와 관련된 의무를 위반하지 아니하도록 관리ㆍ감독하여야 한다. 하지만 현실적으로 보면, 위탁자가 수탁자를 관리ㆍ감독하지 못하는 상황이 많이 존재한다. 예컨대 영세한 기업이 대기업 택배업체에 배송을 맡긴 경우이다.

여기서 주의할 점은 위탁자의 관리ㆍ감독의무와 위탁자의 정보주체에 관한 의무와의 관계인데, 위탁자는 정보주체에 관한 의무와 수탁자의 관리ㆍ감독의무를 모두 부담하고, 이 둘의 관계는 어느 하나가 다른 하나를 배척하는 것은 아니라 병존하는 관계이다.

예컨대 수탁자가 파기기한을 어기고 개인정보를 소지하고 있는 경우, 수탁자가 파기의무 위반으로 처벌되는 것은 별론으로 치고(제67조 제2항), 위탁자는 정보주체에 대하여 파기의무 위반의 책임을 지고, 동시에 수탁자의 관리ㆍ감독의무 해태의 책임을 부담한다.

다만 위탁자의 수탁자에 대한 관리ㆍ감독의무 위반이 있더라도 위탁자에 대한 시정조치 외에 위탁자에 대한 과태료 등의 처벌규정은 존재하지 않는바, 수탁자에 대한 처벌규정으로 족하다는 입법적 고려 때문인데, 위탁자에 대한 처벌 규정의 부존재로 위탁자의 수탁자에 대한 관리ㆍ감독 조문의 실효성이 문제되고 있다.

예컨대 수탁자가 개인정보의 관리적ㆍ기술적 보호조치를 제대로 하지 못해 개인정보가 유출된 경우, 수탁자가 행정적ㆍ형사적 책임을 지는 것과 별개로, 위탁자의 관리ㆍ감독의무 해태가 문제되기는 하지만, 앞서 언급한 대로 위탁자에 대한 제재 규정이 없는 관계로 위탁자에게 민사적 책임이 아닌 행정적ㆍ형사적 책임을 부담시킬 수는 없다. 다만 수탁자의 과실에 대하여 실무적으로는 위탁자에게 행정책임을 부담시킨 사례가 있었다고 한다.

입법론적으로는 위탁자와 수탁자의 여러 가지 유형의 관계를 고려하여, 각 관계에 따른 구체적 타당성을 고려한 위탁자의 관리ㆍ감독의무 위반에 대한 행정적ㆍ형사적 제재를 신설함으로써, 책임회피 목적의 무분별한 위탁 현상이나 수탁자 선정시 부주의를 막을 수 있을 것이다.

참고로 수탁자 선정시 주의사항은 개인정보보호법의 보충규정인 표준지침 제19조에 설명이 되어 있는바, 위탁자는 수탁자의 인력과 물적 시설, 재정 부담능력, 기술 보유의 정도, 책임능력 등을 종합적으로 고려하여야 한다고 되어 있다.

* 법무법인 민후 김경환 대표변호사 작성, 보안뉴스(2014. 1. 3.), 블로그(2014. 1. 7.) 기고.